cyber205の日記: ルータに侵入されたっぽ
日記 by
cyber205
パスワード設定が甘かったのか、昨晩のことですが、
ルータ(ラウター?)に仕掛けておいたIRCボットに侵入を許したようです。
いきなりチャネル内の人間に無差別にOPを配りまくるのであわてて停止させて、
まずはHDD外してchkrootkitかけたところ、とりあえず感染は無し。
できれば、パスワードだけ交換して即座に復帰させたいのですが、
未知の攻撃方法によって乗っ取られて踏み台にされる可能性を考えると、
やはりバイナリや設定ファイルを一切信用せずに再インストールが最も妥当な判断なんでしょうな。
外部に向けていくつもサービス動かしてましたし、セキュリティの設定も含めて、
中途半端にいろいろいじってたシステムなので、
もういっぺん設定し直す手間が必要になったのは痛いです。
内部LAN用Wiki、Wordpress-blogサービス、tDIARY、
その他自分のホームディレクトリで公開されていたサービスは
全て利用不能となっています。
とりあえず、半端に設定してあった予備サーバからHDDを取り外し、
ルータにしてたマシンに放り込んで
最小限の設定変更で無理やり外部とのIPマスカレードを行わせている状態。
djbdnsによるネームサービスは何とか復旧させましたが、
パケットフォワーディングがONになってなくてハマったり。
ファイアウォールの設定も元がダブルイーサに対応してなかったのと、
以前の設定とはeth0,eth1が逆になってることから混乱しまくりです。
とりあえず、sambaとNFSは塞いでおかないとな。
復旧におおわらわで、かなり睡眠時間が削られています。
ねむい~っ。
ルータに侵入されたっぽ More ログイン